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我 们 的 安全 项 目 : 


eo 的 Q 


e MesaP 
MesaLock MesaLink y MesaTEE MesaArmor 时 百度 安全 [^ Baidu Security 一 一 
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GEM FH IP S 


间 读 取 未 授权 的 内 核 效 据 ? 


有 A | E 8 £ “Seg AdvancedAl, Stronger Security 


这 为 什么 很 难 ? 


强 有 力 的 内 核 -用 户 隔离 (KUI) 
MMU- 页 表 (Page Table) 的 加持 


(Rix ATA AC ERG: 
无 内 核 缺陷 来 任意 的 读 取 内 核 数据 
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KUIB WA (1715) 


虚拟 地 址 
查询 失败 查询 成 功 
RAP T Er 
拒绝 准许 
更 新 TLB 保护 失败 物理 地 址 
SIGSEGV 
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1: 页 表 许 可 — 
2l1lol | 


|31/30/29]|28]27|26|25|24]23|22|21,20]19]18|17]16]15|14|13]12 11/]10/9]8 |7|6|5 |4 


Address of page directory! Ignored 


Bits 31:22 of address Reserved Bits 39:32 of 
of 4MB page frame (must be O) address $| wos fo 1 foa 
Address of page table | mw as 
P P 
Address of 4KB page frame Ignored |G| A A T 
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2 Ignored 


つの で つの で つの で て で 


Ms 
プア 


|^ 


无; 
iT RI BG 
2 


但 , 为 了 获得 高 性 能 的 
CPU .… 


2. 权 限 检查 + 
3.7: t Be AM 


1. 非 特权 应 用 程序 + fp | 
e — fh 


a 
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推测 执行 + 无 序 执行 
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投机 执行 


无 推测 执行 
| | 


正确 预测 


TT 
错误 预测 


无 序 执行 


例子 : 

(1) rl e rA / r7 
(2) r8 < rl + r2 
(3) r5 — rb + 1 
(4) r6 «€ r6 - r3 
(5) r4 て と rb + r6 
(6) r7 € r8 * r4 
有 序 执 行 : 


ae 


Images are from Dr. Lihu Rappoport 


推测 执行 + 无 序 执行 
够 了 么 ? 


人 不够 !1! 
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MEMORY 


执行 引擎 以 无 序 ~ ”前端 分 支 预测 器 服务 
方式 执行 ST ， 于 推测 执行 


— TCH/FLC — 


-L ARA HE a 3 


仍然 存在 山 —— 単元 
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Image from https://www.cse.msu.edu/~enbody/postrisc/postrisc2.htm 


Meltdown 


(v3) 的 


-votetite- € 指向 目标 内 核 地址 


\n" 
7070 An" 
"jz %=b An" 


"movq C[dest], *%rax, 1), %%rbx Wn" 


[addr] "^" Caddr), [dest] rr (dest) 
"%rax", "*rbx"); 


Meltdown 
(v3) 的 2. 临时 指令 根据 寄存 器 的 秘密 内 容 访问 缓存 线 。 


"パー・ 

"xorg **rax, %%Pax 
"movb (%Laddr]), %%al 
"shlq $0xc, %%rax 


i abd asm || volatile  ( 


nD 二 


这 个 数字 应 该 — movq (%[dest] , %%rax, 1), %%rbx 
>= 0x6 


[addr] rr Caddr), [dest] rr (dest) 
"9rax", "%rbx"); 


Meltdown 
(v3) 的 工 3. 攻击 者 使 用 flush+reload 来 确定 访问 的 缓存 线 ， 从 


而 确定 存储 在 所 选 内 存 位 置 的 秘密 。 
作 原 理 
| ! 
L0 | 1 | 2 eee |254|255 
adis 25648 


Brix 5| EHME PAE. 
PRN, MRM 0x65, MEHA 
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ForeShadow 


P 


把 秘密 放 在 一 级 


取消 映射 页 表 条 目 


Meltdown 
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fp 


Spectre (v1/v2) 怎么 村 ? 
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1. 在 设置 阶段 , 处 理 器 补 错 误 的 训练 去 做 出 “一 个 可 被 利用 
的 错误 的 推测 。” 


例如 ， x < array1_size 


Sepctre (v1) 
的 工作 原理 


指向 目标 地 址 


(x < array1. size) 


i 真正 的 执行 流程 和 


temp &- array2(array1[xD* 512); SE 
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2. 处 理 器 推测 地 将 来 目 目 标 上 下 文 的 指令 执行 到 微 体 系 结构 
的 隐蔽 通道 中 。 例 如 , x > array1 size 


Sepctre (v1) 
的 工作 原理 


(x < array1 size) 


推测 执行 在 这 
8I 


4 


将 array2 的 一 个 槽 加 载 到 
缓存 中 


执行 流程 应 该 
在 这 里 temp &= array2[array1[x] * 
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Sepctre 《 3. 可 以 通过 定时 访问 CPU 缓存 中 的 内 存 地 址 来 估 复 敏感 
v1) 的 工 xs. 


数据 
作 原 理 


| | 
[0|[1)2]|  ・・・ |254|255 
o 
Array2 基 类 


25678 


AMAR SSA MFPAE. PRO, 如 果 所 选 索引 是 0x66, 
那 对 应 值 束 是 'B’。 
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y array1 和 array2 在 用 户 空 间 中 
x 由 对 方 控制 


array1+x 指 回 秘 


テン 、 
ケル 
名 


(x < array1_size) 


i 
temp &- orray2ferray MX" V; 


} 
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AB! 我 们 现在 得 到 内 核 数据 了 


1. 非 特权 上 * 
2 TX DR f ER 
3. FcR Dé AM 


[ z Ed: に E う 4 EN Y Plo EE Gad zi T) Es x 


= "T » sa - ーー 
M T 


有 Al Bk 全 


用 户 / 内 核 模式 内 核 模式 用 户 模式 
KPTI 之 前 KPTI 之 后 PCID 有 助 于 提高 性 能 
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SMAP 


FAP E Y 当 CR4 中 的 SMAP 位 被 设置 时 ，SMAP 将 被 启 
(FAP 18) FB. 


| v 通过 对 EFLAGS.AC 标 志 的 设置 ， 可 临时 禁用 
监督 者 模式 SMAP, 


(内 核 空 间 ) 


Y SMAP 检 查 早 在 退役 ， 甚 至 执行 之 前 就 已 经 完 
成 了 。 


mw ”即使 我 们 把 Spectre 组 件 放 进 
内 核 空间 ， SMAP 也 会 阻止 它 。 
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攻击 和 规避 总 结 


规避 


Spectre 成 功 


Meltdown 成 功 
ForeShadow 成 功 


仅 用 于 内 核 数 据 泄漏 。 其 它 总 结 不 包含 在 这 里 。 


KPTI + 
SMAP 


KP TI 
KP TI 


失败 


失败 
失败 
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Baidu Security 
Image from http://nohopefor.us/credits 


28 AY S EB 


人 En 


用 户 / 内 核 模式 
KPTI 之 前 KPTI 之 后 
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SEZMeltdown v3z 
中 断 SMAP + KPTI + 用 户 内 核 隔 离 


1: 使 用 新 的 组 件 在 目标 内 核 数 据 和 桥 之 间 
建立 数据 依赖 天 系 ( 绕 过 SMAP) 


2: 使 用 可 靠 的 Meltdown 来 探查 桥 ， 从 而 泄 
is EARS (Se KPTI 和 KUI) 
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与 Spectre 组 件 关 似 , 但 不 完全 相同 


指 回 目标 地 址 


(x < array. siz* 


+ offset]; 


x and offset 应 由 对 方 控制 ! ! 
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如 何 触 上 友 新 的 组 件 
有 很 多 方法 可 以 触发 新 的 组 件 : 


1: Syscalls 

2: /proc and /sys 等 接口 
3: 中 断 和 异 当 处 理 程序 
4: eBPF 

9i ass 
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如 何 找到 新 的 组 件 
源 代码 扫描 


我 们 在 Linux Kernel 4.17.3 中 使用 smatch, 
> 默认 设置 : 36 备 选 组 件 
> 全 选 设 置 : 166 备 选 组 件 
However, there are many restrictions to the gadget in real exploits 
v tate EEG 
« 可 控 週 用 
V EGRE 
v 


二 进 制 代 码 扫 摘 ?? 
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用 户 空 间 


L01112 | eee  J254]255 B 
桥 库 


显然 ， 每 一 轮 都 有 (256*256) 个 探测 
为 了 使 结果 可 靠 ，i 通常 我 们 需要 运 云 行 多 轮 次 


r3: Baidu Security ーー 一 
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为 什么 我 们 需要 在 Meltdown 里 探测 256 次 ? 
如 果 我 们 知道 桥 库 模 0 的 值 ， 我 们 只 需 探测 一 次 。 


我 们 可 以 提前 知道 这 个 值 吗 ? 
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不 适用 于 Meltdown (v3) 


Meltdown 能 够 读 取 内 核 数据 。 
但 是 , 它 要 求 目 标 数 据 在 CPU L1d 缓 仓 中 。 
如 果 目 标 数据 不 在 L1d 缓 存 中 , 0x00 返 回 . 


我 们 需要 可 徘 地 读 取 内 核 数 据 ! 
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可 靠 的 Meltdown (V3r) 


V3r 共有 两 步 : 
第 一 步 : 将 数据 放 入 L1d 缓 存 


i。 | 内核 中 的 任何 
地 方 


第 二 步 : 使 用 v3 获取 数据 


我 们 使 用 Intel CPU E3-1280 v6 在 Linux 4.4.0， 和 Intel CPU 
I7-4870HQ 在 MacOS 10.12.6 (16G1036) 上 进行 测试 。 
rj 百度 安全 トコ Baidu Security == 
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信息 汇总 
离线 阶段 : 
> 使 用 v3r 转 储 网 桥 数 据 ， 并 将 其 保存 到 表 中 
在 线 阶段 : 


> 第 一 步 : 在 目标 数据 和 桥 模 之 间 建 立 数据 依赖 关系 
> 第 二 步 : 探测 桥 的 每 个 模 


PV ES 


数 率 ・ 
> 从 几 分 钟 (在 东 些 情况 下 甚至 是 1 小 时 左 石 ) NREL RR jS 
漏 — T HW. 
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AI 


内 核 : Linux 4.4.0 with SMAP + KPTI 
CPU: Intel CPU E3-1280 v6 


在 内 核 空间 , 我 们 有 一 个 
机 密 消息 , 例如 , xlabsecretxlabsecret, 
位 置 在 , 例如 , 0xffffffffc0e7e0a0 
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探讨 对 策 
软件 规避 
V 修 外 内核 以 消除 所 有 预期 的 组 件 
v 最 小 化 共享 的 “ 桥 " 区 域 
v 随 机 化 共 享 的 " 酸 " 区 域 


V 监 倪 基 于 缓存 的 侧 通 追 活动 
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探讨 对 策 
硬件 规避 
ン 在 执行 阶段 中 执行 权限 检查 
ン 修改 推测 执行 和 无 序 执行 
v 使 用 侧 通道 抗 缓存 ， 例 如 独占 /随机 缓存 
增加 硬件 级 侧 通道 检测 机 制 
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Bras 


。 在 司 用 KPTI + SMAP + KUI 的 情况 下 ，Trinational Spectre 


和 Meltdown TAEA RAIRE 


。 我 们 新 型 的 Meltdown variants 能 够 打破 最 强 的 保护 (KPTI + 


SMAP + KUI), 


所 有 现 有 的 内 核 都 需要 修补 以 规避 我 们 的 新 攻击 。 
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